為你的網站制定備份策略
阿恆
最近幾天接二連三有知名網站遭黑客入侵,包括討論區系統 phpBB 的官方網站(phpBB 仍然是安全的,漏洞出在網站上另一個應用系統)及網上書籤網站 Ma.gnolia,網站被入侵已經不是新聞,很多被入侵的系統內的用戶資料被盜取,例如網上求職者網站 Monster.com 上星期被入侵後,數以十萬計的求職者個人資料被盜;有些網站的資料被抹去而無法復原,例如 Ma.gnolia 便承認他們無法復原用戶的書籤,唯有透過網上其他資源盡力恢復用戶的公開資料,其中包括 Google 搜尋器的緩存影像。數據丟失固然嚴重,對網站聲譽和用戶信心的打擊更是無法彌補。
鞏固和入侵網站是一個永不完結的戰爭,雙方都在不斷較量,HKPUG 曾經多次討論過網站和 PHP 安全的問題,包括「Google 的 Chrome 和蘋果的 Safari 的密碼管理系統最弱」、「微軟和 Google 的 Captcha 先後被破解」、「如何評價一個密碼的質量?」、「兩個可能洩漏系統資訊的 PHP 漏洞」等等,但很少討論另一個同樣重要的問題──數據修復(data recovery),數據修復的前提是數據備份,幾乎所有保安專家都建議我們為網站制定備份策略(backup strategy),哪些資料需要備份?如何進行備份?由誰執行備份?多久備份一次?如何儲存備份?有多少個備份?如何從備份復原數據?怎樣確保備份的安全?
除了參考專家的意見,不妨看看現實中人們怎樣做,Josh Catone 在他的 SitePoint 網誌中提出備份策略這個問題,並邀請讀者分享他們的備份心得,雖然這些不是完整的資料,但也很有參考價值。